Waarom mogen we geen webserver draaien?
-
- Elite Poster
- Berichten: 1621
- Lid geworden op: 30 mei 2006, 13:20
- Twitter: goendi
- Locatie: Antwerpen
- Bedankt: 2 keer
- Contacteer:
Daar doelde ik niet op deze keer ;) Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is ;) En dat vind ik een goeie zaak...
- deej
- Elite Poster
- Berichten: 3322
- Lid geworden op: 09 dec 2002, 21:14
- Locatie: Een boerengat nu met VDSL2!
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 4 keer
Goendi schreef:Daar doelde ik niet op deze keer Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is En dat vind ik een goeie zaak...
Agree. De zwakste schakel in heel het gebeuren is nog altijd het manneke erachter dus qua sensibilisering is er ook nog een hele weg af te leggen. Plus illegale Windows updaten zich alsmaar moeilijker .
- D3bian
- Elite Poster
- Berichten: 1256
- Lid geworden op: 29 jun 2006, 10:43
- Locatie: Zemst
- Uitgedeelde bedankjes: 95 keer
- Bedankt: 25 keer
Deej_1977 schreef:Goendi schreef:Daar doelde ik niet op deze keer Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is En dat vind ik een goeie zaak...
Agree. De zwakste schakel in heel het gebeuren is nog altijd het manneke erachter dus qua sensibilisering is er ook nog een hele weg af te leggen. Plus illegale Windows updaten zich alsmaar moeilijker .
Tsssssssk, illegale Windows? Tsssssk tsssssk. Wie heeft er nu een illegale Windows?
-
- Elite Poster
- Berichten: 2149
- Lid geworden op: 01 feb 2003, 11:58
- Uitgedeelde bedankjes: 44 keer
- Bedankt: 12 keer
95% van alle pc gebruikers ?
-
- Plus Member
- Berichten: 198
- Lid geworden op: 10 jan 2006, 13:25
- Locatie: Roeselare
- Contacteer:
Nu is er al zoveel gezegd over de veiligheid van een server of het al dan niet openzetten van poorten, maar hoe zit het dan met Extern Bureaublad, MSN, Skype en dergelijke? Die zetten toch ook poorten open? Of het nu poort 3306 of poort 80 is, blijft het dan niet even gevaarlijk?
-
- Elite Poster
- Berichten: 1621
- Lid geworden op: 30 mei 2006, 13:20
- Twitter: goendi
- Locatie: Antwerpen
- Bedankt: 2 keer
- Contacteer:
Nu is er al zoveel gezegd over de veiligheid van een server of het al dan niet openzetten van poorten, maar hoe zit het dan met Extern Bureaublad, MSN, Skype en dergelijke? Die zetten toch ook poorten open? Of het nu poort 3306 of poort 80 is, blijft het dan niet even gevaarlijk?
Die poorten zijn minder exploitable... Via een webserver kun je in de binaries en directory's geraken als die slecht beveiligd is, dat is een pak moeilijker met dingen als skype en msn. Het is wel effectief niet onmogelijk, maar de kans is gewoon veel kleiner.
- deej
- Elite Poster
- Berichten: 3322
- Lid geworden op: 09 dec 2002, 21:14
- Locatie: Een boerengat nu met VDSL2!
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 4 keer
Goendi schreef:Die poorten zijn minder exploitable... Via een webserver kun je in de binaries en directory's geraken als die slecht beveiligd is, dat is een pak moeilijker met dingen als skype en msn. Het is wel effectief niet onmogelijk, maar de kans is gewoon veel kleiner.
*kuch hoest kuch* net verslikt in mijn ochtendkoffie. Shell access kan je krijgen op eender welk Windows station met een vulnerability op gelijk welke poort. Erger nog, bij Windows geraak je zonder veel poeha rechtstreeks in kernel mode met een goed gemikte buffer overflow.
Jouw "slecht beveiligde webserver" moet dus 1) een site bevatten die een gat bevat die toelaat shell code uit te voeren (wat in een standaard Apache + PHP5 al zeer moeilijk is), 2) met root priviliges draaien (wat Apache by default al niet doet.
De kans dat een gewoon Windows station gehackt wordt op ééndere welke app / poort en dat je er volledige shell access op krijgt (en dus vanalles kan op installeren of mee doen) is vele malen groter dan dat je het op een webserver kan doen.
-
- Elite Poster
- Berichten: 1621
- Lid geworden op: 30 mei 2006, 13:20
- Twitter: goendi
- Locatie: Antwerpen
- Bedankt: 2 keer
- Contacteer:
Ik spreek ten allen tijde van unix based OS :)
Even verslikt in de 'ok' button. Here goes the rest:
Even inpikken dus... Over Windows ga ik me hier niet uitspreken, ik denk dat dat voldoende bekend is hoe je daar de gaten aanpakt... Echter ga ik totaal niet akkoord met je kansberekening. Ik sprak dacht ik ook nergens van volledige shell access of user priveleges, maar van het gebruik maken van bepaalde misconfiguraties in die rechten om toegang tot lokaties van derden op de server te krijgen waarna je met gemak aanpassingen kan doen aan andere lokaties op de server. Als je spreekt over de kansen op volledige shell access, of user priveleges, dan is het uieraard simpeler op een windows station dan een webserver.
Wat betreft die webserver... Dit: "wat in een standaard Apache + PHP5 al zeer moeilijk is" is verre van moeilijk: een slecht opgebouwde website en je bent binnen. Standaard staan in de .ini van php5 bepaalde variabalen aan die het mogelijk maken via een exploit in één site andere veilige sites alsnog te misbruiken. Een standaard configuratie kan er dus toe leiden dat één slecht beveiligde website de mogelijkheid biedt aan een indringer om gevoelige goed beveiligde code op andere sites aan te wenden en zo alsnog de command line triggered via de daartoe voorziene commando's in php. Ik nodig je uit om het met mij eens te testen :) Ik wil gerust een standaard configuratie op een testdoos opzetten om mijn punt kracht bij te zetten...
Even verslikt in de 'ok' button. Here goes the rest:
*kuch hoest kuch* net verslikt in mijn ochtendkoffie. Shell access kan je krijgen op eender welk Windows station met een vulnerability op gelijk welke poort. Erger nog, bij Windows geraak je zonder veel poeha rechtstreeks in kernel mode met een goed gemikte buffer overflow.
Jouw "slecht beveiligde webserver" moet dus 1) een site bevatten die een gat bevat die toelaat shell code uit te voeren (wat in een standaard Apache + PHP5 al zeer moeilijk is), 2) met root priviliges draaien (wat Apache by default al niet doet.
De kans dat een gewoon Windows station gehackt wordt op ééndere welke app / poort en dat je er volledige shell access op krijgt (en dus vanalles kan op installeren of mee doen) is vele malen groter dan dat je het op een webserver kan doen.
Even inpikken dus... Over Windows ga ik me hier niet uitspreken, ik denk dat dat voldoende bekend is hoe je daar de gaten aanpakt... Echter ga ik totaal niet akkoord met je kansberekening. Ik sprak dacht ik ook nergens van volledige shell access of user priveleges, maar van het gebruik maken van bepaalde misconfiguraties in die rechten om toegang tot lokaties van derden op de server te krijgen waarna je met gemak aanpassingen kan doen aan andere lokaties op de server. Als je spreekt over de kansen op volledige shell access, of user priveleges, dan is het uieraard simpeler op een windows station dan een webserver.
Wat betreft die webserver... Dit: "wat in een standaard Apache + PHP5 al zeer moeilijk is" is verre van moeilijk: een slecht opgebouwde website en je bent binnen. Standaard staan in de .ini van php5 bepaalde variabalen aan die het mogelijk maken via een exploit in één site andere veilige sites alsnog te misbruiken. Een standaard configuratie kan er dus toe leiden dat één slecht beveiligde website de mogelijkheid biedt aan een indringer om gevoelige goed beveiligde code op andere sites aan te wenden en zo alsnog de command line triggered via de daartoe voorziene commando's in php. Ik nodig je uit om het met mij eens te testen :) Ik wil gerust een standaard configuratie op een testdoos opzetten om mijn punt kracht bij te zetten...
Laatst gewijzigd door Goendi 01 nov 2006, 11:58, in totaal 1 gewijzigd.
- deej
- Elite Poster
- Berichten: 3322
- Lid geworden op: 09 dec 2002, 21:14
- Locatie: Een boerengat nu met VDSL2!
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 4 keer
Goendi schreef:Ik spreek ten allen tijde van unix based OS
Welke *nix draait MSN & Skype ?
Trouwens, voor de geïnteresseerden, dit is een goed verhaal over Blue Security en hun avonturen met DDoS (was al langer bekend maar nu opgepikt door Wired Magazine).
-
- Elite Poster
- Berichten: 1621
- Lid geworden op: 30 mei 2006, 13:20
- Twitter: goendi
- Locatie: Antwerpen
- Bedankt: 2 keer
- Contacteer:
Welke *nix draait MSN & Skype ?
Ik had me dus ook verslikt :P Ik gebruik kwasi enkel unix systemen, en refereer dan naar gelijkaardige toepassingen voor dat platform :)
FF dat artikel lezen...
- D3bian
- Elite Poster
- Berichten: 1256
- Lid geworden op: 29 jun 2006, 10:43
- Locatie: Zemst
- Uitgedeelde bedankjes: 95 keer
- Bedankt: 25 keer
Deej_1977 schreef:Goendi schreef:Ik spreek ten allen tijde van unix based OS
Welke *nix draait MSN & Skype ?
Trouwens, voor de geïnteresseerden, dit is een goed verhaal over Blue Security en hun avonturen met DDoS (was al langer bekend maar nu opgepikt door Wired Magazine).
Uhm, ik heb op mijn FC4 MSN en Skype draaien hoor. MSN via Trillian variant voor Nix.
- deej
- Elite Poster
- Berichten: 3322
- Lid geworden op: 09 dec 2002, 21:14
- Locatie: Een boerengat nu met VDSL2!
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 4 keer
The_One schreef:MSN via Trillian variant voor Nix.
Da's geen echte MSN hé . Ik bedoelde de Microsoft versies die kwetsbaar zijn voor MSN wormen e.d.
Is er reeds meer informatie ivm het draaien van een webserver voor persoonlijke doeleinden?
Poort 80 is zoals voorheen nog steeds toe en ik verwacht niet dat ze deze zullen open zetten aangezien ze deze gebruiken om op de Speedtouch 706 inteloggen.
Ik heb de indruk dat onlangs poort 443 ook dicht getimmerd werd.
Kan iemand dit bevestigen?
Poort 80 is zoals voorheen nog steeds toe en ik verwacht niet dat ze deze zullen open zetten aangezien ze deze gebruiken om op de Speedtouch 706 inteloggen.
Ik heb de indruk dat onlangs poort 443 ook dicht getimmerd werd.
Kan iemand dit bevestigen?
-
- Plus Member
- Berichten: 109
- Lid geworden op: 22 feb 2007, 18:46
Waarom zou je als niet-systeem beheerder een website op het netwerk van een school/bedrijf willen draaien?
-
- Plus Member
- Berichten: 109
- Lid geworden op: 22 feb 2007, 18:46
Ha ja, was't van de verkeerde kant aan't bezien. Als Tele2 de poorten blokkeert, kan het niet op school zijn, want wie, behalve systeem-beheerders (en zelfs dan) weet welke ISP de school heeft? Mijn fout, sorry.
-
- Elite Poster
- Berichten: 2149
- Lid geworden op: 01 feb 2003, 11:58
- Uitgedeelde bedankjes: 44 keer
- Bedankt: 12 keer
Iedereen die surftt op dat netwerk kan toch perfect provider afleiden. Als was het maar door een ub speedtest te doen.Poedelbrein schreef:Ha ja, was't van de verkeerde kant aan't bezien. Als Tele2 de poorten blokkeert, kan het niet op school zijn, want wie, behalve systeem-beheerders (en zelfs dan) weet welke ISP de school heeft? Mijn fout, sorry.
Inderdaad, maar ik wil geen kat en muis spelletje spelen om die poort steeds te veranderen aangezienGoendi schreef:Niets belet je een poort boven 1024 bvb te gebruiken?
er in de algemene voorwaarden geen beperking bestaat, maar toch worden de poorten gesloten.
Graag had ik duidelijkheid ...
poekie68 schreef:Voor zover ik kan lezen, staat dit NIET in de algemene voorwaarden.Zielig in geen geval, je bent geacht de algemene voorwaarden gelezen te hebben en hierin staat duidelijk vermeld dat servers draaien op de aangeboden producten Always ADSL, Free ADSL, Tele2AllIn niet toegelaten is.
The Conquer schreef:'k Heb voor de zekerhied maar snel de voorwaarden gedownload voordat ze deze wijzigen (zou niet de eerste keer zijn)
In bijlage dus de voorwaarden. Voor het gemak heb ik het woordje server gemarkeerd. Komt er toch maar twee keer in voor.
http://www.userbase.be/forum/download.php?id=2004
The_One schreef:Hello,
Blijkt inderdaad te kloppen, heb mij nog gebaseerd op de vroegere algemene voorwaarden, mijn excuses hiervoor.
Ik ga er zelf niet meer op ingaan om te vermijden dat ik dingen ga zeggen die niet kloppen (ben geen legal specialist en zal me dus ook niet op dat pad begeven).
Ik zou zeggen, schrijf een briefje tav de verantwoordelijke van de klantendienst met deze opmerking. Ikzelf zal de opmerking hier gemaakt zeker ook overmaken aan mijn verantwoordelijke.
Nogmaals mijn excuses voor de foutieve informatie.
Mvg,
Ik ben zelf ook al een tijdje bezig met het configureren van een webserver en dergelijken, en in het begin wil je dat zo rap mogelijk online zien. Daarom dat ISP's dit ook graag blocken, om (zoals The One en anderen al vaak genoeg aangehaald hebben) de ISP te beschermen tegen mensen die zonder veel achtergrondkennis een server willen draaien. Als dit fout afloopt (zware DoS attack, webserver wordt gebruikt door derden als spammer, noem maar op...) komt dit meestal op de kap van de ISP terecht, terwijl de klant in het ergste geval de rest van de maand op smallband staat (en daar waarschijnlijk dan nog over gaat klagen bij de ISP). Leer eerst eens locaal een webservertje draaien, wees leergierig, niet alleen op gebied van de services die je draait (zoals apache, php, mysql enzovoort) maar vooral op gebied van veiligheid, en je gaat merken dat het allemaal nog niet zo evident is. Linux/Unix/BSD zijn prachtige OS's, en worden bestempeld als de veiligere, maar om 99% veilig te zijn vergen ze nog heeeeeeeel wat configuratie. Naargelang je alles wat onder de knie hebt, ga je ook merken dat het blokkeren van poort 80 door je ISP, geen beperking meer zou mogen bieden om een webserver up and running te krijgen. Dus naar mijn mening zijn de meeste klagers hierover, vooral mensen die gewoon nog niet klaar zijn om een webserver deftig te doen draaien. Apache installeren kan iedereen mits een goeie handleiding...
Over andere poorten (zoals 22 en 23 bijvoorbeeld) kan je natuurlijk wel gaan klagen dat ze toe steken, maar langs de andere kant, als je dan toch per sé van thuis uit een server wil draaien (om whatever welke reden) dan wil dit ook zeggen dat deze pc ook effectief bij je thuis staat. Wat is dan het probleem om dan via je interne netwerk over deze poorten je nodige dingen te doen??? Mij ga je niet vertellen dat je op school of op het werk (of waar je ook zit) ineens levensbelangrijke dingen aan je server moet gaan wijzigen dat niet kan wachten tot je thuis bent! En anders ben je verkeerd bezig imo...
Ach ja, deze topic zal een eindeloze discussie blijven zeker?
Over andere poorten (zoals 22 en 23 bijvoorbeeld) kan je natuurlijk wel gaan klagen dat ze toe steken, maar langs de andere kant, als je dan toch per sé van thuis uit een server wil draaien (om whatever welke reden) dan wil dit ook zeggen dat deze pc ook effectief bij je thuis staat. Wat is dan het probleem om dan via je interne netwerk over deze poorten je nodige dingen te doen??? Mij ga je niet vertellen dat je op school of op het werk (of waar je ook zit) ineens levensbelangrijke dingen aan je server moet gaan wijzigen dat niet kan wachten tot je thuis bent! En anders ben je verkeerd bezig imo...
Ach ja, deze topic zal een eindeloze discussie blijven zeker?
Voor diegenen die een voorbeeldje willen zien: http://planetzork.homelinux.com:8080
Je kan je webserver laten draaien over poort 8080, bij mij loopt dan de ftp over 8081, enkel voor ssh heb ik nog geen oplossing gevonden om dit naar een andere poort te forwarden. Alles is dus zeker mogelijk, en eigenlijk zeer simpel te omzeilen.
En als je Tele2 of Telenet klant bent, krijg je een dynamisch IP-adres. Via www.dyndns.org kan je dan een url gebruiken ipv je ip, het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...
Je kan je webserver laten draaien over poort 8080, bij mij loopt dan de ftp over 8081, enkel voor ssh heb ik nog geen oplossing gevonden om dit naar een andere poort te forwarden. Alles is dus zeker mogelijk, en eigenlijk zeer simpel te omzeilen.
En als je Tele2 of Telenet klant bent, krijg je een dynamisch IP-adres. Via www.dyndns.org kan je dan een url gebruiken ipv je ip, het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...
En dat is dan weer optelossen via cloaking bij zoneedit.z0rk schreef: het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...
Maar dat is helemaal niet waar ik het over had. Ik wou
een duidelijk standpunt van Tele2. Worden poorten afgesloten indien er een service op draait of worden de poorten die momenteel gesloten zijn niet meer uitgebreid en dus het draaien van een persoonlijke server toegelaten. Ik wil gewoon geen kat en muis spel. Gewoon duidelijkheid.
Ik denk dat we mogen aangezien er speciaal een user tele2 werd aangemaakt om dit in je modem te beheren.
Mvg320i schreef:via internetexplorer ga je naar http://speedtouch.lan en dan kan je inloggen met username tele2 en wachtwoord tele2.
Daar ga je dan in een interface komen waar je poorten kan open zetten etc.
-
- Pro Member
- Berichten: 323
- Lid geworden op: 03 dec 2005, 12:44
- Uitgedeelde bedankjes: 15 keer
- Bedankt: 13 keer
- Contacteer:
kan ik nog een poort openzetten of niet en hoe doe ik dat in die speedtouch 706 modem/router want ken die niet al te goed,
zitten veel dingen weggestoken
zitten veel dingen weggestoken
-
- Plus Member
- Berichten: 198
- Lid geworden op: 10 jan 2006, 13:25
- Locatie: Roeselare
- Contacteer:
- KaiZas
- Pro Member
- Berichten: 305
- Lid geworden op: 23 maa 2004, 10:17
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 2 keer
Wow, nog steeds niet?
Probleem is allang verholpen met de nieuwe firmwares van Thompson hoor. Ik draai momenteel
Tijd om van je luie reet te komen, Tele2. De feestdagen zijn voorbij, terug aan de slag!
Probleem is allang verholpen met de nieuwe firmwares van Thompson hoor. Ik draai momenteel
en die laat zich gewoon benaderen door IE7. (Net even getest, ik ben ook een 100% FireFox man sinds enkele jaren)Product Name: ST706
Software Release: 6.2.29.2
Tijd om van je luie reet te komen, Tele2. De feestdagen zijn voorbij, terug aan de slag!